一种终端根密钥更新方法、装置、设备及可读存储介质与流程

1.本发明涉及通信技术领域，尤其涉及一种终端根密钥更新方法、装置、设备及可读存储介质。


背景技术：

2.随着宽带集群技术的飞速发展，宽带集群系统终端也获得了快速发展。为了满足用户多样化的需求，目前宽带集群系统终端可以同时支持公网业务和专网业务。也就是说，宽带集群终端既可以使用运营商的移动网络提供的业务，也可以使用宽带集群网络提供的业务。
3.现有技术中，宽带集群系统终端在进行组直接通信时，通常要求工作密钥以较高频率进行更新，例如一话一密，但当大量加密密文频繁在不安全的信道上传输时，易于被攻击者截获，比如说，攻击者可以通过分析大量密文破解根密钥。
4.比较常规的是通过更新根密钥的方法避免上述的对根密钥的攻击，然而，宽带集群系统终端直接通信的组呼业务进行过程中，组内通信的带集群系统终端一般无法直接与网络建立通信联系，由于宽带集群系统终端在发生网络故障或者用户选择私密直通模式时，能够进行终端间的直接通信，但当宽带集群系统终端无法与网络通信时，空口只能采用默认根密钥进行组呼安全加密，无法从网侧获得根密钥更新，也给终端直接通信安全造成挑战。
5.因此，需要一种宽带集群系统终端直通根密钥更新方式。


技术实现要素：

6.本发明提供一种终端根密钥更新方法、装置、设备及可读存储介质，用以解决现有技术中当宽带集群系统终端无法与网络通信时，无法从网侧获得根密钥更新也给终端直接通信安全造成挑战的缺陷，实现同时具备向多个属组发送加密信息的能力。
7.本发明提供一种终端根密钥更新方法，包括以下步骤：
8.获取第一更新请求；
9.根据所述第一更新请求，选举出组内的更新终端；其中，所述更新终端负责生成第二组根密钥；
10.所述更新终端生成所述第二组根密钥后，发起第二更新请求；
11.组内其他的终端根据所述更新终端的所述第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为所述第二组根密钥；其中，所述第二组根密钥不同于所述第一组根密钥，且，所述第二组根密钥为所述第一组根密钥之后的组根密钥；
12.组内所有终端更新完成后，解锁所述根密钥区块链，并建立新的区块链同步；
13.后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，获取新的终端对应的临近终端转发的组根密钥更新后的区块。
14.根据本发明提供的一种终端根密钥更新方法，该方法还包括以下步骤：
15.后接入组内的新的终端获取组根密钥更新后的区块后，解析组根密钥更新后的区块，得到所述第二组根密钥和仍处于有效期内的所述第一组根密钥；
16.解码并转存仍处于有效期内的所述第一组根密钥。
17.根据本发明提供的一种终端根密钥更新方法，获取第一更新请求步骤中，当根密钥到达更新周期时或者触发组根密钥更新时，生成所述第一更新请求。
18.根据本发明提供的一种终端根密钥更新方法，初始的所述获取组根密钥通过以下步骤得到：
19.获取写入请求；
20.判断发起所述写入请求的用户是否为授权的合法用户；
21.当所述用户为授权的合法用户时，在组内写入初始的组根密钥。
22.根据本发明提供的一种终端根密钥更新方法，所述判断发起所述写入请求的用户是否为授权的合法用户步骤中，用户在直接通信时，根据直接通信的加密鉴权算法，利用区块链进行身份验证，以确定用户是否为授权的合法用户。
23.根据本发明提供的一种终端根密钥更新方法，获取第一更新请求步骤中，当根密钥更新周期到达，或者人为出发组根密钥更新时，生成所述第一更新请求。
24.根据本发明提供的一种终端根密钥更新方法，该方法还包括以下步骤：
25.对于同时属于多个不同分组的终端，对每个组分别对应的组根密钥分别进行更新。
26.本发明提供一种终端根密钥更新装置，包括：
27.第一请求模块，用于获取第一更新请求；
28.选举模块，用于根据所述第一更新请求，选举出组内的更新终端；其中，所述更新终端负责生成第二组根密钥；
29.第二请求模块，用于所述更新终端生成所述第二组根密钥后，发起第二更新请求；
30.更新模块，用于组内其他的终端根据所述更新终端的所述第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为所述第二所述根密钥；其中，所述第二所述根密钥不同于所述第一所述根密钥，且，所述第二所述根密钥为所述第一所述根密钥之后的根密钥；
31.组链模块，用于组内所有终端更新完成后，解锁所述根密钥区块链，并建立新的区块链同步；
32.接入模块，用于后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，获取新的终端对应的临近终端转发的组根密钥更新后的区块。
33.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述终端根密钥更新方法的步骤。
34.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述终端根密钥更新的步骤。
35.本发明提供的终端根密钥更新方法、装置、设备及可读存储介质，为终端直通根密钥更新方法，对于终端直接通信场景，多个处于移动状态的同组终端间无线通信链路存在不稳定的情况。同组终端可能采用组内成员中继或者非组内成员中继方式实现通信。对于
脱网后回到网络内的终端，临近终端(领节点)能够转发部分尚处于有效期内的数据包(物联网终端因对数据包传输延迟要求较低，延迟数据包由临节点存储转发的情况也较为频繁)，此时也需要对应密钥进行解密，另外一个终端节点可能同时属于多个不同的分组(具备网关节点特性)，需要对多个组的加密信息进行解密，同时具备向多个属组发送加密信息的能力。
附图说明
36.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1是本发明提供的终端根密钥更新方法的流程示意图之一；
38.图2是本发明提供的终端根密钥更新方法的流程示意图之二；
39.图3是本发明提供的终端根密钥更新方法的流程示意图之三；
40.图4是本发明提供的终端根密钥更新方法中初始的组根密钥生成时流程示意图；
41.图5是本发明提供的终端根密钥更新装置的结构示意图之一；
42.图6是本发明提供的终端根密钥更新装置的结构示意图之二；
43.图7是本发明提供的终端根密钥更新装置的结构示意图之三；
44.图8是本发明提供的终端根密钥更新装置中初始的组根密钥生成时结构示意图；
45.图9是本发明提供的电子设备的结构示意图。
具体实施方式
46.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
47.区块链技术作为一种去中心化的分布式记账技术，通过使用共识算法、哈希函数、时间戳、非对称加密、可编程智能合约等技术，可以保证数据的可追溯性、一致性和不可篡改。从本质上讲，区块链技术是一个共享数据库，存储于其中的数据或信息，具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。基于这些特征，区块链技术奠定了坚实的“信任”基础，创造了可靠的“合作”机制，具有广阔的运用前景。
48.下面结合图1描述本发明的终端根密钥更新方法，该方法包括以下步骤：
49.s100、获取第一更新请求，第一更新请求为对后述的更新终端的第一组根密钥即旧的组根密钥进行更新。
50.在本实施例中，终端优选的为宽带集群系统终端。
51.可以理解的是，第一更新请求为当旧的根密钥到达更新周期时或者触发旧的组根密钥更新时，比如说人为触发旧的组根密钥更新时，生成第一更新请求。
52.s200、根据第一更新请求，选举出组内的更新终端(节点)。其中，更新终端负责生成第二组根密钥，其中，第二组根密钥不同于第一组根密钥，且，第二组根密钥为第一组根
密钥之后的根密钥，可以理解的是，第一组根密钥即为新的组根密钥。具体的，会先判断第一更新请求是否满足要求，当第一更新请求满足要求之后，组内所有终端通过选举算法确定当前组进行更新的终端(节点)。
53.s300、更新终端生成第二组根密钥后，发起第二更新请求，第二更新请求为对组内除了更新终端(节点)外的所有终端的第一组根密钥即旧的组根密钥进行更新。
54.s400、组内其他的终端根据更新终端(节点)的第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为第二组根密钥。
55.s500、组内所有终端更新完成后，解锁根密钥区块链，并建立新的区块链同步。
56.在本实施例中，可以为闭锁根密钥区块链设定闭锁周期，通过一定闭锁周期，在确认收到区块加入成功后，建立新的区块链同步。超过闭锁周期后，会强制解锁根密钥区块链。
57.s600、后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，请求加入组根密钥区块，加入成功后，获取新的终端对应的临近终端(领节点)转发的组根密钥更新后的区块。
58.本发明的终端根密钥更新方法，为终端直通根密钥更新方法，对于终端直接通信场景，多个处于移动状态的同组终端间无线通信链路存在不稳定的情况。同组终端可能采用组内成员中继或者非组内成员中继方式实现通信。对于脱网后回到网络内的终端，临近终端(领节点)能够转发部分尚处于有效期内的数据包(物联网终端因对数据包传输延迟要求较低，延迟数据包由临节点存储转发的情况也较为频繁)，此时也需要对应密钥进行解密，另外一个终端节点可能同时属于多个不同的分组(具备网关节点特性)，需要对多个组的加密信息进行解密，同时具备向多个属组发送加密信息的能力。
59.下面结合图2描述本发明的终端根密钥更新方法，该方法还包括以下步骤：
60.s610、后接入组内的新的终端获取组根密钥更新后的区块后，解析组根密钥更新后的区块，得到第二根密钥和仍处于有效期内的第一组根密钥。
61.s620、解码并转存仍处于有效期内的第一组根密钥。
62.对于终端直接通信场景，多个处于移动状态的同组终端间无线通信链路存在不稳定的情况。同组终端可能采用组内成员中继或者非组内成员中继方式实现通信。处于中继链路边缘的终端，通过区块链鉴权进行身份确认后，可以收到中继终端提供的组根密钥更新后的区块信息。边缘终端通过解码组根密钥更新后的区块信息，获得当前根密钥以及此前处于有效期内的旧的根密钥，并对收到的处于有效期内的信息进行解码和转存。对于脱网后回到网络内的终端，邻节点能够转发部分尚处于有效期内的数据包(物联网终端因对数据包传输延迟要求较低，延迟数据包由临节点存储转发的情况也较为频繁)，此时也需要对应密钥进行解密。
63.下面结合图3描述本发明的终端根密钥更新方法，该方法还包括以下步骤：
64.s700、对于同时属于多个不同分组的终端，对每个组分别对应的组根密钥分别进行更新，具体的更新步骤为步骤s100至步骤s600，以及步骤s610和步骤s620。
65.由于对于同一个终端而言，可能同时属于多个不同的分组(具备网关节点特性)，因此需要对多个组的加密信息分别进行解密，将同时与多个分组的根密钥更新后的区块链建立连接，分别按照不同分组根密钥更新周期进行根密钥更新和维护，使得终端具备向多
个属组发送加密信息的能力。
66.下面结合图4描述本发明的终端根密钥更新方法，初始的获取组根密钥通过以下步骤得到：
67.a100、获取写入请求。
68.a200、判断发起写入请求的用户是否为授权的合法用户。具体的，用户在直接通信时，根据直接通信的加密鉴权算法，利用区块链进行身份验证，以确定用户是否为授权的合法用户。
69.a300、当用户为授权的合法用户时，在组内写入初始的组根密钥。例如使用sim卡中写入的初始根密钥信息。
70.下面对本发明提供的终端根密钥更新装置进行描述，下文描述的终端根密钥更新装置与上文描述的终端根密钥更新方法可相互对应参照。
71.下面结合图5描述本发明的终端根密钥更新装置，该装置包括以下步骤：
72.第一请求模块100，用于获取第一更新请求，第一更新请求为对后述的更新终端的第一组根密钥即旧的组根密钥进行更新。
73.在本实施例中，终端优选的为宽带集群系统终端。
74.可以理解的是，第一更新请求为当旧的根密钥到达更新周期时或者触发旧的组根密钥更新时，比如说人为触发旧的组根密钥更新时，生成第一更新请求。
75.选举模块200，用于根据第一更新请求，选举出组内的更新终端(节点)。其中，更新终端负责生成第二组根密钥，其中，第二组根密钥不同于第一组根密钥，且，第二组根密钥为第一组根密钥之后的根密钥，可以理解的是，第一组根密钥即为新的组根密钥。具体的，会先判断第一更新请求是否满足要求，当第一更新请求满足要求之后，组内所有终端通过选举算法确定当前组进行更新的终端(节点)。
76.第二请求模块300，用于更新终端生成第二组根密钥后，发起第二更新请求，第二更新请求为对组内除了更新终端(节点)外的所有终端的第一组根密钥即旧的组根密钥进行更新。
77.更新链模块400，用于组内其他的终端根据更新终端(节点)的第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为第二组根密钥。
78.组链模块500，用于组内所有终端更新完成后，解锁根密钥区块链，并建立新的区块链同步。
79.在本实施例中，可以为闭锁根密钥区块链设定闭锁周期，通过一定闭锁周期，在确认收到区块加入成功后，建立新的区块链同步。超过闭锁周期后，会强制解锁根密钥区块链。
80.接入模块600，用于后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，请求加入组根密钥区块，加入成功后，获取新的终端对应的临近终端(领节点)转发的组根密钥更新后的区块。
81.本发明的终端根密钥更新装置，为终端直通根密钥更新装置，对于终端直接通信场景，多个处于移动状态的同组终端间无线通信链路存在不稳定的情况。同组终端可能采用组内成员中继或者非组内成员中继方式实现通信。对于脱网后回到网络内的终端，临近终端(领节点)能够转发部分尚处于有效期内的数据包(物联网终端因对数据包传输延迟要
求较低，延迟数据包由临节点存储转发的情况也较为频繁)，此时也需要对应密钥进行解密，另外一个终端节点可能同时属于多个不同的分组(具备网关节点特性)，需要对多个组的加密信息进行解密，同时具备向多个属组发送加密信息的能力。
82.下面结合图6描述本发明的终端根密钥更新装置，该装置还包括：
83.解析模块610，用于后接入组内的新的终端获取组根密钥更新后的区块后，解析组根密钥更新后的区块，得到第二根密钥和仍处于有效期内的第一组根密钥。
84.解码转存模块620，用于解码并转存仍处于有效期内的第一组根密钥。
85.对于终端直接通信场景，多个处于移动状态的同组终端间无线通信链路存在不稳定的情况。同组终端可能采用组内成员中继或者非组内成员中继方式实现通信。处于中继链路边缘的终端，通过区块链鉴权进行身份确认后，可以收到中继终端提供的组根密钥更新后的区块信息。边缘终端通过解码组根密钥更新后的区块信息，获得当前根密钥以及此前处于有效期内的旧的根密钥，并对收到的处于有效期内的信息进行解码和转存。对于脱网后回到网络内的终端，邻节点能够转发部分尚处于有效期内的数据包(物联网终端因对数据包传输延迟要求较低，延迟数据包由临节点存储转发的情况也较为频繁)，此时也需要对应密钥进行解密。
86.下面结合图7描述本发明的终端根密钥更新装置，该装置还包括：
87.接入模块700，用于对于同时属于多个不同分组的终端，对每个组分别对应的组根密钥分别进行更新，具体的更新步骤为第一请求模块100至接入模块600，以及解析模块610和解码转存模块620。
88.由于对于同一个终端而言，可能同时属于多个不同的分组(具备网关节点特性)，因此需要对多个组的加密信息分别进行解密，将同时与多个分组的根密钥更新后的区块链建立连接，分别按照不同分组根密钥更新周期进行根密钥更新和维护，使得终端具备向多个属组发送加密信息的能力。
89.下面结合图8描述本发明的终端根密钥更新装置，初始的获取组根密钥通过以下模块得到：
90.第三请求模块a100，用于获取写入请求。
91.判断模块a200，用于判断发起写入请求的用户是否为授权的合法用户。具体的，用户在直接通信时，根据直接通信的加密鉴权算法，利用区块链进行身份验证，以确定用户是否为授权的合法用户。
92.写入模块a300，用于当用户为授权的合法用户时，在组内写入初始的组根密钥。例如使用sim卡中写入的初始根密钥信息。
93.图9示例了一种电子设备的实体结构示意图，如图9所示，该电子设备可以包括：处理器(processor)810、通信接口(communications interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行终端根密钥更新方法，该方法包括以下步骤：
94.s100、获取第一更新请求；
95.s200、根据所述第一更新请求，选举出组内的更新终端；其中，所述更新终端负责生成第二组根密钥；
96.s300、所述更新终端生成所述第二组根密钥后，发起第二更新请求；
97.s400、组内其他的终端根据所述更新终端的所述第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为所述第二组根密钥；其中，所述第二组根密钥不同于所述第一组根密钥，且，所述第二组根密钥为所述第一组根密钥之后的组根密钥；
98.s500、组内所有终端更新完成后，解锁所述根密钥区块链，并建立新的区块链同步；
99.s600、后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，获取新的终端对应的临近终端转发的组根密钥更新后的区块。
100.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
101.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的终端根密钥更新方法，该方法包括以下步骤：
102.s100、获取第一更新请求；
103.s200、根据所述第一更新请求，选举出组内的更新终端；其中，所述更新终端负责生成第二组根密钥；
104.s300、所述更新终端生成所述第二组根密钥后，发起第二更新请求；
105.s400、组内其他的终端根据所述更新终端的所述第二更新请求，闭锁根密钥区块链，组内其他的终端将第一组根密钥更新为所述第二组根密钥；其中，所述第二组根密钥不同于所述第一组根密钥，且，所述第二组根密钥为所述第一组根密钥之后的组根密钥；
106.s500、组内所有终端更新完成后，解锁所述根密钥区块链，并建立新的区块链同步；
107.s600、后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，获取新的终端对应的临近终端转发的组根密钥更新后的区块。
108.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的终端根密钥更新方法，该方法包括以下步骤：
109.s100、获取第一更新请求；
110.s200、根据所述第一更新请求，选举出组内的更新终端；其中，所述更新终端负责生成第二组根密钥；
111.s300、所述更新终端生成所述第二组根密钥后，发起第二更新请求；
112.s400、组内其他的终端根据所述更新终端的所述第二更新请求，闭锁根密钥区块
链，组内其他的终端将第一组根密钥更新为所述第二组根密钥；其中，所述第二组根密钥不同于所述第一组根密钥，且，所述第二组根密钥为所述第一组根密钥之后的组根密钥；
113.s500、组内所有终端更新完成后，解锁所述根密钥区块链，并建立新的区块链同步；
114.s600、后接入组内的新的终端在基于区块链鉴权确认身份验证成功后，获取新的终端对应的临近终端转发的组根密钥更新后的区块。
115.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
116.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
117.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。